Data Protection Academy » Data Protection Wiki » Technisch organisatorische Maßnahmen (TOMs)
Datenschutz gemäß DSGVO
Technisch organisatorische Maßnahmen (TOMs)
Auch wenn die Datenschutz-Grundverordnung schon seit 2018 in Kraft getreten ist, gibt es kaum Standards zur Umsetzung der einzelnen Vorgaben. Speziell beim Thema Technisch Organisatorische Maßnahmen laufen zudem Vorgaben aus den Bereichen Datenschutz und Datensicherheit sowie den Gesetzen DSGVO und BDSG-neu zusammen. Das erscheint vielen Datenschutz-Verantwortlichen undurchsichtig, die Einhaltung der Vorgaben erscheint kompliziert.
Wir verschaffen Ihnen einen Überblick über die Gesetzeslage und zeigen Ihnen wie Sie mit Hilfe der Technisch Organisatorischen Maßnahmen, die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten können. Denn Egal ob Einkäufe im Online-Shop oder Videoüberwachung – jegliche Verarbeitung personenbezogener Daten muss durch geeignete technische und organisatorische Maßnahmen geschützt werden.
Im folgenden Beitrag erfahren Sie, welche technischen und organisatorischen Maßnahmen Sie umsetzen sollten und worauf Sie bei der Umsetzung achten sollten.
Wichtigste Informationen über Technisch Organisatorische Maßnahmen
- Technisch-organisatorischen Maßnahmen sind in der DSGVO beschriebene Maßnahmen, welche den Schutz personenbezogener Daten sicherstellen sollen.
- Technisch-organisatorischen Maßnahmen werden als „TOM“ oder „TOMs“ abgekürzt
- Since the entry into force of the GDPR 2018, are the ones listed in the BDSG. beschriebenen Maßnahmen nicht mehr anwendbar, stattdessen werden in Article 32 of the GDPR technisch-organisatorische Maßnahmen in Kategorien aufgelistet
- TOMs also serve as proof of compliance with the GDPR, which is why written documentation is mandatory (stipulated in Art. 24 Para. 1 GDPR)
Inhalt zum Thema Technisch Organisatorische Maßnahmen:
Technische und organisatorische Maßnahmen – Was ist der Unterschied?
Technische Maßnahmen umfassen jeden Schutz der Datenverarbeitungssicherheit, der durch physische Maßnahmen oder in Soft- und Hardware realisiert werden kann. Organisatorische Maßnahmen in Sinne des Article 32 GDPR umfassen Maßnahmen, welche die Umsetzung von Handlungsanweisungen, sowie Vorgehensweisen und Verfahren für Mitarbeiter beinhalten, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
Beispiele technische Maßnahmen
- Use of a firewall
- Verschlüsselung von Datenträgern und Datenübertragungen
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Installation of an alarm system
- Bauliche Absicherung von Gebäuden/Geländen
- Vorgaben für die Passwortkomplexität von Benutzern (FIDO-2)
Beispiele organisatorische Maßnahmen
- Employee training on data protection
- Visitor registration
- Data protection compliant disposal of documents with personal data (DIN 66399)
Welche Zwecke erfüllen Technisch Organisatorische Maßnahmen?
Technisch organisatorische Maßnahmen sind dem Bereich Datensicherheit zuzuordnen und dienen dem Zweck, personenbezogene Daten gemäß dem neusten Stand der Technik umfassend zu schützen. Bevor Sie geeignete TOMs für Ihr Unternehmen definieren können, müssen Sie zunächst eine Risikoanalyse bzw. Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitungstätigkeiten Ihres Unternehmens durchführen. Haben Sie mögliche Risiken für verarbeitete personenbezogene Daten identifiziert, können Sie diese über den Einsatz von TOMs ausreichend schützen.
Rechtliche Entwicklung der Technisch Organisatorischen Maßnahmen
The old regulations in the BDSG were more of a catalogue of requirements that had to be worked through in order to comply with the law. The new regulations, however, see the TOMs much more as a Criterion in der umfassend durchzuführenden Risikoabwägung. Dies eröffnet auf der einen Seite neue Herangehensweisen an die Definition von geeigneten Maßnahmen. Auf der anderen Seite erhöht es jedoch den konkreten Prüfungsumfang, durchgeführt durch den zuständigen Data Protection Officer.
§ 9 BDSG – alt
Technische und organisatorische Maßnahmen
1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.
2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Article 32 GDPR
Safety of processing
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko adequate level of protection zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: […]
Was müssen Technisch Organisatorische Maßnahmen gemäß DSGVO beinhalten?
Die Technisch Organisatorischen Maßnahmen gewährleisten gemäß DSGVO eine angemessenes Schutzniveau wenn Sie folgendes enthalten:
- the Pseudonymisierung und Verschlüsselung of personal data;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit of the systems and services related to the processing on a permanent basis;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem a physical or technical incident;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Dabei müssen Verantwortliche und Auftraggeber den Stand der Technik, Implementierungskosten, die Schwere und Eintrittswahrscheinlichkeit des (potenziellen) Risikos, die Rechte und Freiheiten von Betroffenen sowie Art, Umfang, Umstände und Zwecke der Verarbeitung beachten.
Ausgehend von diesen Kriterien, muss jedes Unternehmen einen eigenen spezifisch ans Unternehmen angepassten Maßnahmenkatalog entwickeln. Dabei ist zu beachten, dass Maßnahmen anhand der Kriterien dauerhaft überprüft, angepasst und aktualisiert werden müssen.
In the Robin Data ComplianceOS® bekommen Sie passende TOMs auf Basis Ihrer Branche angezeigt und können diese einfach in Ihre digitale Datenschutz-Dokumentation importieren.
Was bedeuten TOMs für Unternehmen?
With the entry into force of the GDPR the safety of the processing personal data expanded and with it the documentation and verification obligations. If companies process, collect or store particularly sensitive and personal data, they are obliged to implement TOM.
Es müssen alle zum Schutz der Daten ergriffenen Maßnahmen dokumentiert werden, um im Schadensfall genaue Aufzeichnungen über die ergriffenen Vorkehrungen nachweisen zu können. Werden Technisch Organisatorische Maßnahmen sorgfältig dokumentiert und umgesetzt profitiert Ihr Unternehmen in vielerlei Hinsicht. So schützen Sie Ihr Unternehmen vor Bußgelder und Reputationsverlust, darüber hinaus werden auch sensible Unternehmensdaten sowie Geschäftsgeheimnisse geschützt.
Structure and systematisation
Mit Inkrafttreten der DSGVO wurde die Sicherheit der Verarbeitung personenbezogener Daten erweitert und damit einhergehend die Dokumentations- und Nachweispflichten. Die Datenschutz-Grundverordnung bleibt bei einer konkreten Definition der Technisch Organisatorischen Maßnahmen recht vage. Rein schematisch kann man folgende Systematisierungsmuster zur Definition der TOM gegenüberstellen:
Classic structure of TOM according to old model:
- Maßnahmen der Zutrittskontrolle
- Maßnahmen der Zugangskontrolle
- Maßnahmen der Zugriffskontrolle
- Maßnahmen der Weitergabekontrolle
- Maßnahmen der Auftragskontrolle
- Maßnahmen der Verfügbarkeitskontrolle
- Maßnahmen zur Umsetzung des Trennungsgebots
Demgegenüber wird heute überwiegend einheitlich folgender Aufbau gewählt:
Confidentiality
- Maßnahmen der Zutrittskontrolle
- Maßnahmen der Zugangskontrolle
- Maßnahmen der Zugriffskontrolle
- Maßnahmen der Trennungskontrolle
- Maßnahmen der Pseudonymisierung
Integrität
- Maßnahmen der Weitergabekontrolle
- Maßnahmen der Eingabekontrolle
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Data Protection Management
- Incident Response Management
- Order control
Defined in Art. 32 para. 1 lit. d GDPR and the Art. 25 para. 1 GDPR
Praktisches Vorgehen bei der Erstellung technisch organisatorischer Maßnahmen im Unternehmen
Ein wichtiger Bestandteil bei der Umsetzung der Technisch Organisatorischen Maßnahmen ist die Dokumentation der umgesetzten TOMs. Es sollte jedoch keinesfalls vergessen werden, dass die Dokumentation der Maßnahmen nur ein Teilschritt ist.
TOMs dienen dem Zweck, personenbezogene Daten gemäß dem neusten Stand der Technik umfassend zu schützen. Bevor Sie geeignete TOMs für Ihr Unternehmen definieren können, müssen Sie zunächst eine Risikoanalyse bzw. Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitungstätigkeiten Ihres Unternehmens durchführen. Denn erst im Zusammenspiel mit den konkreten Verarbeitungstätigkeiten zeigt sich, ob die individuellen Schutzmaßnahmen ausreichend sein können, um das notwendige Sicherungsniveau zu gewährleisten.
Jedes Unternehmen muss daher einen eigenen spezifisch ans Unternehmen angepassten Maßnahmenkatalog entwickeln. Dabei ist zu beachten, dass Maßnahmen anhand der Kriterien dauerhaft überprüft, angepasst und aktualisiert werden müssen. Rein praktisch bietet es sich daher an, bei der Abfassung der TOM, nach den konkreten Verarbeitungsszenarien zu differenzieren.
The following systematisation can be recommended:
- A representation of the TOMs that concerns all techniques that are applied throughout the enterprise and are likely to affect all processing operations.
- Individuell besondere Maßnahmen, welche im Rahmen der konkreten Verarbeitungstätigkeiten diesen zugeordnet werden.
- (Optional) Eine Darstellung, welche ausschließlich die in Auftragsverarbeitungsverhältnissen relevanten Maßnahmen enthält.
Die sodann vorzunehmende Risikobewertung sollte sinnvollerweise ebenfalls im Rahmen der Verarbeitungsverzeichnisse stattfinden und hierbei sowohl die Angaben der „Allgemeinen“ TOM berücksichtigen, als auch die zusätzlichen Maßnahmen der konkreten Verarbeitungsvorgänge.
Weiterhin ist darauf zu achten, dass die getroffenen organisatorischen Maßnahmen nicht lediglich auf dem Papier bestehen, sondern die hierfür notwendigen arbeitsrechtlichen Anweisungen wirksam gegenüber den Mitarbeitern ergriffen werden. Nur solche Maßnahmen können als wirksam erachtet werden.
Implement your organisation's TOMs with Robin Data
Lassen Sie sich bei allen Anforderungen der DSGVO vom ComplianceOS® Compliance-Feld Datenschutz leiten. Angefangen bei der Umsetzung des Verzeichnis der Verarbeitungstätigkeiten, über die Identifikation von notwendigen Datenschutz-Folgenabschätzungen, die Implementierung von technisch organisatorischen Maßnahmen bis hin zur Erfüllung der Dokumentationspflichten gibt Ihnen Robin Data immer das passende Werkzeug an die Hand. Buchen Sie zunächst ein kurzes Kennenlern-Meeting mit uns.
Was ist das Verhältnismäßigkeitsprinzip?
Art. 32 DSGVO spricht davon, dass die Implementierungskosten der technischen und organisatorischen Maßnahmen zu berücksichtigen sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Durch Berücksichtigung der wirtschaftlichen Angemessenheit können sich die TOM-Vorhaben etwas einschränken, und beispielsweise die TOM eines Kleinunternehmens andere Standards entsprechen wie die TOM eines Großkonzerns.
Eight steps to implementation
Der Prozess zur Auswahl angemessener Sicherungsmaßnahmen, kurz „ZAWAS“ wurde vom LfD Niedersachsen erstellt und umfasst die folgenden Schritte:
- Verarbeitungstätigkeit beschreiben
- Rechtliche Grundlagen prüfen
- Strukturanalyse durchführen
- Conduct a risk assessment
- Maßnahmen auswählen
- Evaluate residual risk
- Maßnahmen konsolidieren
- Maßnahmen realisieren
Das ZAWAS-Prinzip des LfD Niedersachsen ist eine praktische Orientierung für Datenschutz-Verantwortliche, die einen Überblick über die Verarbeitungstätigkeiten ihres Unternehmens haben. Nach Realisierung der Maßnahmen, sollte allerdings der Schritt der Datenschutz-Dokumentation folgen, um den Dokumentations- sowie Nachweispflichten der DSGVO nachzukommen und im Fall einer Überprüfung aussagekräftig zu sein.
Beispiele für Technisch Organisatorische Maßnahmen
- Schließsysteme mit Codesperren
- Chipkarten für verschlossene Bereiche
- Access barriers secured with biometric features
- Datenschutzkonforme Videoüberwachung
- Secure firewall
- Anti-virus software
- Sperrung von USB-Anschlüssen und anderen externen Schnittstellen
- Verriegelung von Gerätegehäusen
- Authentication via password entry or biometric scans
- Sicherheitsschlösser
- Logging of access to applications and processes such as data destruction
- Datenschutzkonforme Vernichtung von Datenträgern (Akten, Laufwerke etc.)
- Verschlüsselung von Datenträgern und mobilen Endgeräten
Whitepaper with checklist, samples, templates and examples as PDF
Im Whitepaper zu den Technisch Organisatorische Maßnahmen finden Sie:
- 43 Examples für TOMs unterteilt in Vertraulichkeit, Integrität und weitere Kategorien
- 12 ready-made examples für Ihre Datenschutz-Dokumentation
- Each Beispiele für technische UND organisatorische Maßnahmen
- Checklist to tick off der TOMs für Ihr Unternehmen
- References to background information and relevant legal basis
Wer kann bei der Umsetzung der technischen und organisatorischen Maßnahmen unterstützen?
Allgemein verantwortlich für den Datenschutz eines Unternehmens ist die Geschäftsleitung, welche diese Aufgabe in der Regel intern delegiert oder einen externen Datenschutzbeauftragten bestellt. Ein erfolgreicher Datenschutz setzt immer eine abteilungsübergreifende Zusammenarbeit voraus, in Bezug auf die TOMs ins Besondere, da hier Ansprechpartner aus der IT-Abteilung den besten Überblick über technische Details und die technische Umsetzung haben. Aber auch Kollegen aus der Personalabteilung müssen einbezogen werden, weil Mitarbeiter zum Umgang mit etablierten TOMs geschult werden müssen. Bei dieser Aufgabe können wiederum Abteilungsleiter unterstützen.
Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data Software
Sollten Sie sich für die Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data ComplianceOS® interessieren, können Sie die einzelnen articles in our Help Center or book free initial meetings book.
Was sind die Folgen eines datenschutzrechtlichen Verstoßes?
Ein datenschutzrechtlicher Verstoß im Bereich der Technisch Organisatorischen Maßnahmen wird in Art. 5 para. 1 of the GDPR als Verstoß gegen die Integrität und Vertraulichkeit definiert. Verantwortliche verstoßen damit gegen die Grundsätze der Datenverarbeitung und müssen gemäß Art. 83 (5) GDPR mit Bußgeldern bis zu 20 Mio. € bzw. 4% des Umsatzes rechnen.
If the precautions taken turn out to be inadequate in the course of a data breach, companies run a high risk. In such a case, the GDPR Art. 83 Par. 4 Bußgelder bis zu 10 Mio. € bzw. 2% des Umsatzes vor.
Die Höhe der anfallenden Geldstrafe ergibt sich aus bestimmten Kriterien: Art, Schwere und Dauer eines Verstoßes sowie die damit einhergehenden Folgen. Auch werden ergriffene Maßnahmen (TOMs) zur Festlegung herangezogen. Damit stellt die Dokumentation der ergriffenen Technisch Organisatorischen Maßnahmen eine wesentliche legal protection dar, welche ggf. die Höhe des Bußgeldes reduzieren kann.
Fazit: TOMs müssen auf die Anforderungen des Unternehmens angepasst werden
Die Sicherheit bei der Verarbeitung personenbezogener Daten nach Artikel 32 DSGVO ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes innerhalb eines Unternehmens. Den Technisch Organisatorischen Maßnahmen kommt dabei eine zentrale Rolle zu.
Nicht nur für das Unternehmen intern werden Risiken identifiziert und die unternehmerische Sicherheit gestärkt, sondern insbesondere Ihren Kunden kommt die DSGVO-konforme Umsetzung der TOMs zu Gute. Dabei sind Unternehmen jeder Größe angehalten, die Technisch Organisatorischen Maßnahmen sorgfältig umzusetzen sowie zu dokumentieren.
Dabei können digitale Lösungen, Checklisten, Vorgaben der Aufsichtsbehörden sowie Datenschutzbeauftragte helfen.
FAQ
What does TOM mean?
Technisch-organisatorischen Maßnahmen werden auch als „TOM“ oder „TOMs“ abgekürzt.
Was sind technische und organisatorische Maßnahmen DSGVO?
Technisch-organisatorische Maßnahmen sind in der DSGVO beschriebene Maßnahmen, welche den Schutz personenbezogener Daten sicherstellen sollen.
Was sind organisatorische Maßnahmen DSGVO?
Organisatorische Maßnahmen in Sinne des Art. 32 DSGVO umfassen Maßnahmen, welche die Umsetzung von Handlungsanweisungen, sowie Vorgehensweisen und Verfahren für Mitarbeiter beinhalten, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
When are TOMs required within the meaning of Art. 32 GDPR?
Öffentliche und nicht-öffentliche Stellen, die personenbezogenen Daten erheben, verarbeiten oder nutzen, sind verpflichtet technische und organisatorische Maßnahmen zu gewährleisten. Nach Art. 32 DSGVO müssen Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Zwecke der Verarbeitung und der Eintrittswahrscheinlichkeit oder Schwere der Gefahren für die betroffenen Personen technischen und organisatorischen Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten.
Welche technischen und organisatorischen Schutzmaßnahmen bei personenbezogenen Daten sind gemäß BDSG gemeint?
Gemäß § 9 BDSG sind die folgenden Schutzmaßnahmen gemeint. Unter technische Maßnahmen versteht man Maßnahmen, die physische umsetzbar sind, wie Alarmanlage, Firewall, und Pseudonymisierung personenbezogener Daten. Organisatorische Maßnahmen sind hingegen durch Handlungsanweisungen und Verfahrensweisen, wie Besucheranmeldung, Mitarbeiterschulung, oder Vier-Augen-Prinzip, umgesetzt.
Robin Data ComplianceOS® Feld Datenschutz
Das Compliance-Feld Datenschutz unterstützt Sie gerichtssicher und zeitsparend bei der kontinuierlichen Umsetzung Ihres Datenschutz-Managements im Unternehmen. Sowohl Datenschutzbeauftragte als auch Verantwortliche profitieren von den zahlreichen Funktionen.
- NIS2: EU-Richtlinie für mehr Cybersicherheit - 13 November 2025
- EU Data Act: Pflichten für Organisationen - 12 September 2025
- Gefährdungsbeurteilung erstellen - 7 July 2025
Das könnte Sie auch interessieren:
https://media.robin-data.io/2022/05/23150310/Datenschutzpanne.jpg
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2025-11-13 17:46:492025-12-03 14:21:10NIS2: EU-Richtlinie für mehr Cybersicherheit
https://media.robin-data.io/2022/05/23150650/Zusammenarbeit-1.jpg
341
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2025-04-23 09:41:392025-04-23 09:44:29DSMS according to GDPR: Structure & practical implementation
https://media.robin-data.io/2025/01/27132208/kuenstliche-intelligenz-ai.png
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2025-04-07 13:24:222025-04-07 13:46:33AI and data protection in practice
